Bandeau cookies sur WordPress : guide de conformité CNIL
WordPress ne gère pas nativement le consentement aux cookies tel qu'exigé par la CNIL et l'article 82 de la loi Informatique et Libertés. Sans CMP (Consent Management Platform) correctement configurée, les scripts analytiques et publicitaires s'exécutent dès le chargement de la page — avant que le visiteur ait exprimé le moindre choix.
Cette page est consacrée exclusivement au bandeau cookies et à la politique cookies pour sites WordPress : choix de la CMP, blocage des scripts tiers avant consentement, durée de validité du consentement, cookies exemptés. Pour la conformité RGPD globale de votre site WordPress (formulaires, hébergement, plugins), consultez notre page dédiée.
Choisir une CMP conforme pour WordPress
Plusieurs extensions permettent d'implémenter un bandeau cookies conforme sur WordPress : Complianz, Axeptio, Tarteaucitron.js et CookieYes sont parmi les plus utilisées en France. Chacune propose un mode de blocage préalable des scripts (script blocking) qui empêche le déclenchement de tout cookie de traçage — Google Analytics, Meta Pixel, LinkedIn Insight Tag — tant que l'utilisateur n'a pas accepté.
Le critère décisif n'est pas l'esthétique du bandeau mais son comportement technique : le refus doit être aussi simple que l'acceptation. La CNIL a rappelé dans ses lignes directrices de 2020 que la présence d'un bouton "Tout accepter" sans équivalent "Tout refuser" au même niveau visuel constitue une non-conformité. Vérifiez ce point quel que soit l'outil retenu, et testez le comportement réel en mode navigation privée avec les DevTools du navigateur.
La durée de validité du consentement recueilli ne doit pas dépasser 13 mois. Passé ce délai, l'utilisateur doit être à nouveau sollicité. Les CMP mentionnées ci-dessus gèrent cette expiration automatiquement si elles sont correctement configurées.
Blocage des scripts et cookies exemptés
Le principe posé par la CNIL est clair : aucun cookie ou traceur non essentiel ne doit être déposé avant le consentement de l'utilisateur. Sur WordPress, cela suppose de désactiver le chargement natif des plugins analytiques (Google Analytics via plugin dédié, MonsterInsights, Site Kit by Google) et de les laisser piloter exclusivement par la CMP.
Certains cookies sont exemptés de consentement : les cookies strictement nécessaires au fonctionnement du site (panier d'achat, session d'authentification, préférences de langue) et les cookies de mesure d'audience anonymisée — sous conditions strictes de la CNIL (absence de partage avec des tiers, anonymisation réelle, périmètre limité à un seul éditeur). Un outil comme Matomo en mode cookieless peut être exempté ; Google Analytics ne l'est pas, sauf configuration très restrictive.
Politique cookies : contenu obligatoire
Votre politique cookies doit décrire pour chaque catégorie de traceurs : la finalité (mesure d'audience, personnalisation, publicité ciblée), le nom du cookie, son émetteur (votre site ou un tiers), et sa durée de vie. Une liste générique "nous utilisons des cookies" ne satisfait pas aux exigences d'information éclairée du RGPD.
Elle doit également expliquer comment l'utilisateur peut retirer son consentement à tout moment — aussi facilement qu'il l'a donné — et comment accéder à ses paramètres via la CMP. Un lien vers cette politique doit figurer dans le pied de page du site et dans le bandeau de consentement lui-même.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique cookies WordPressQuestions fréquentes
Quel plugin de bandeau cookies choisir pour WordPress ?
Complianz et Axeptio sont les solutions les mieux adaptées au marché français et à l'écosystème WordPress. Tarteaucitron.js est une alternative open-source éprouvée. CookieYes offre une version gratuite correcte pour les petits sites. Le choix importe moins que la configuration : vérifiez que le blocage préalable des scripts est activé et que le bouton de refus est aussi visible que le bouton d'acceptation.
Google Analytics peut-il être chargé sans consentement sur WordPress ?
Non, dans la configuration standard. Google Analytics dépose des cookies de mesure et transmet des données vers les serveurs de Google — ce traitement requiert le consentement préalable de l'utilisateur. La seule exception concerne une configuration Matomo strictement anonymisée sans partage tiers, qui peut bénéficier de l'exemption CNIL de mesure d'audience.
Quelle est la durée de validité légale du consentement cookies ?
Le consentement est valable 13 mois au maximum. Passé ce délai, la CMP doit redemander le choix à l'utilisateur. La durée de vie des cookies eux-mêmes est distincte : elle est fixée par chaque traceur (de quelques heures à plusieurs années) et doit être documentée dans votre politique cookies.
Faut-il une politique cookies distincte de la politique de confidentialité ?
Pas obligatoirement, mais c'est la bonne pratique : la politique cookies se concentre sur les traceurs (finalité, durée, émetteur, retrait du consentement), tandis que la politique de confidentialité couvre l'ensemble des traitements de données personnelles. Avoir deux pages distinctes facilite la navigation des utilisateurs et le référencement de chaque document.
Voir aussi
Guides pour aller plus loin
Les règles CNIL en vigueur en 2026 pour un bandeau cookies valide : consentement préalable, refus aussi simple, durée, sanctions et CMP recommandées.
WordPress RGPD, mentions légales, cookies, WooCommerce, plugins : la checklist en 10 points pour mettre votre site WordPress en conformité en 2026.